09.01.2017 par Alain Establier - SDBR
SDBR : Vous étiez il y a peu Officier général Cyberdéfense donc COMCYBER du MINDEF. Après 6 ans passés à construire cette responsabilité, quel regard portez-vous sur cette période ?
Arnaud Coustillière : Lorsque j’ai commencé, à l’été 2011, nous étions quatre pour traiter le cœur du sujet Cyber au sein du ministère de la Défense, aidés par une petite centaine de personnes éparpillées dans le ministère. A mon départ en septembre 2017, l’état-major COMCYBER, d’environ 75 personnes, avait la tutelle sur environ 3000 personnes décentralisées au sein du MINDEF. Cela montre d’une part que les engagements, annoncés par les Lois de Programmation Militaire (LPM) de 2008 et 2013, ont été tenus, d’autre part que les Armées disposent d’une vraie capacité de combat cohérente sur l’ensemble de l’espace numérique, allant de la prévention, de la protection et de la réaction à l’engagement contre nos ennemis dans le cadre du droit des conflits armés. C’est la preuve aussi que le Cyber n’était pas un effet de mode, puisque les attaques informatiques ont aujourd’hui envahi tout notre quotidien : pas un jour sans attaque, pas un jour sans exemple que la révolution numérique est en marche, avec des risques qui menacent les forces militaires mais aussi la vie privée de chacun de nous, au travers des objets connectés, des jouets, etc. Nous assistons vraiment à une « révolution numérique » qui envahit toute la vie en société. Pour leur capacité de combat, les Armées françaises ont été précurseurs en ce domaine en Europe, grâce au soutien sans faille des ministres, des parlementaires et des chefs d’Etat-major successifs, ce qui leur permet de ne pas être aujourd’hui en retard d’une guerre.
Que reste-t-il à faire à votre successeur, le général Olivier Bonnet de Paillerets, nouveau COMCYBER ?
J’ai eu la chance de participer à la création d’une capacité de combat des Armées, qui a atteint une taille significative en moins de 6 ans grâce à un processus très « start-up ». Dans le cadre de la LPM et de la revue Cyber, cette capacité va continuer à grossir et va donc devoir se structurer et s’industrialiser. Cependant, n’oublions pas que nous sommes avant tout des acteurs du numérique, donc nos organisations doivent rester agiles, mobiles, mouvantes, capables de s’adapter à la menace aussi rapidement qu’elle évolue, ce qui ne cadre pas forcément avec des organisations lourdes. Nous sommes une force de combat permanente (Etat-major, Task Force), dans laquelle sont puisés des combattants qui sont ensuite agrégés à des dispositifs opérationnels. Le COMCYBER doit rester agile face à des attaques de plus en plus surprenantes et déstabilisantes : exemple, pendant des mois Daech (EI) est resté caché au cœur du Web des démocraties occidentales avant qu’on ne l’en déloge ; autre exemple, contrairement à Conficker en 2009 (9 millions d’ordinateurs sous Windows XP infectés), WannaCry en 2017 a été le premier virus propagé avec une charge, d’où sa possibilité de sabotage à grande échelle ; dernier exemple, les risques à l’échelle d’une nation se sont concrétisés en 2016 par l’attaque du botnet Mirai qui a fait tomber l’internet du Liberia et, plus récemment, par le Vietnam qui a perdu totalement son Internet pendant quelques heures.
Vous êtes aujourd’hui en charge de la direction générale des systèmes d'information et de communication (DGSIC). Quelle est votre mission ?
Le ministère de la Défense est engagé dans une profonde transformation numérique, comme toutes les organisations aujourd’hui. La différence entre la transformation numérique et la démarche de numérisation des processus nécessite de tenir compte de la propagation absolument galopante du numérique, de prendre en compte les nouveaux modes de relations que le numérique génère (plateforme), avec la nouvelle organisation que cela amène (ruptures dans les usages et dans les processus). Cette notion d’espace a sa propre logique qui nous amène à changer notre façon de travailler et nous sommes au début de cette révolution. Nous sommes aussi au début d’une révolution informatique, les gros systèmes atteignant leurs limites, qui va imposer la généralisation des démarches agiles tout en assurant la résilience des systèmes (ce que les grands projets informatiques ont encore du mal à intégrer) ; concilier informatique agile et informatique « socle » est un vrai défi. Nous sommes face à un secteur très agile au contact des utilisateurs (avec des applis en mouvement) qui repose en fait sur un socle un peu comme un iceberg, qui fait appel à la très haute technologie qui évolue vite et coûte très cher (IA, Big Data, flux de transport des données, etc.). Donc il s’agit bien d’une révolution numérique en marche et nous voyons, dans les organisations, des DSI groupe accompagner la transformation numérique et les modèles d’organisation. De la même façon, le MINDEF est en train de suivre ce mouvement, que le ministre appuie comme une priorité : c’est un axe de progrès et de transformation important du ministère.
Quel est votre calendrier de mission ?
La lettre de mission du ministre me donne deux grands axes : une autorité fonctionnelle élargie pour consolider la gouvernance de la fonction SIC du MINDEF de façon rapide (coordination des ressources humaines et des ressources financières) et pour mettre en place, si nécessaire, une bonne gouvernance des projets ; être chef d’orchestre de la transformation numérique du ministère, c'est-à-dire être en fait le DSI groupe, aidé par les 40 personnels de DGSIC. La DSI groupe doit donc prouver sa valeur ajoutée, en comblant ce que les DSI des entités ne font pas (SGA, DIRISI**, etc.) et en faisant du transverse. C’est un mouvement qui se veut cohérent avec les autres mouvements au sein de l’Etat (secrétariat d’état au numérique, DINSIC, volet numérique d’Action Publique 2022).
Vous avez également été nommé « administrateur ministériel des données ». Concrètement, que recouvre ce titre ?
Le numérique permet d’échanger des données et « l’or noir » du numérique réside dans la bonne exploitation de ces données : les rendre disponibles pour être capable d’échanger et de passer des outils d’analyse (ce qui a fait la fortune des GAFA). La donnée doit donc être partagée dans des zones de confiance internes : RH, MCO, réseaux, opérations, etc. Pour cela, il faut commencer par cartographier les données du ministère, savoir où elles se trouvent, sous la responsabilité de qui, pour pouvoir constituer des « data lakes » : un endroit de confiance, où sont rassemblées différentes données du MINDEF, capable de supporter des technologies d’analyse et d’intelligence artificielle. Le « data lake » permet à des métiers, différents mais complémentaires, de venir y chercher des informations nécessaires à la mission. Ce qui est aujourd’hui dans des silos doit pouvoir être hébergé dans des serveurs communs, pour autant ces serveurs doivent être capables de supporter ces énormes flux de données. Ces données seront essentiellement conservées dans le Cloud du MINDEF ; si certaines données peuvent être hébergées à à terme l’extérieur, elles le seront chez des partenaires de confiance (sous contrôle ANSSI), avec une charte éthique, en France et sous la loi française.
Madame le ministre a fixé, dans le cadre de la LPM, la mission de « restaurer la soutenabilité de nos engagements ». Quelle implication pour DGSIC ?
La transformation numérique va permettre de simplifier un certain nombre d’actes administratifs, de dématérialiser toute une série de relations internes : par exemple, dans « mission numérique » a été placé l’objectif « dites-lui qu’une fois », ce qui va être très dur à atteindre mais c’est un objectif qu’il faut s’efforcer de réaliser pour l’identification des personnels (à travers le projet Eureka de portail unique de soutien). Derrière ces objectifs, restent à solutionner les problématiques d’identifiant unique numérique au sein du MINDEF. Mon rêve serait d’arriver à donner un avatar unique à l’engagé, à son entrée au ministère, qui devienne son sésame dans toutes ses démarches durant son passage au sein des Armées : exemple, j’ai 38 ans de service et, lorsque je passe la visite médicale, je perds à chaque fois un certain temps à remplir des papiers où on me demande mes nom, prénom, âge et adresse… des milliers d’heures perdues par an par l’ensemble du personnel ! Voilà le type de révolution culturelle que la révolution numérique doit permettre, pour améliorer la productivité et pour que chaque personnel se consacre à des taches à valeur ajoutée. Mais une simple gestion de droits nécessite un système complexe, l’iceberg dont je parlais, pour un corps social qui connaît environ 50.000 déménagements d’individus par an !
Madame Parly a écrit aussi « investir résolument dans l’avenir pour que notre outil de défense puisse faire face aux menaces de demain ». Quel impact pour DGSIC ?
Dans tout ce que dit la revue stratégique, le numérique est aussi prégnant dans le domaine du combat. Le numérique est en fait le nouveau nom des SIC, davantage tourné vers les usages de niveau stratégique et moins considéré comme élément d’appui et de soutien : c’est un espace à part entière dans lequel il faut concevoir la manœuvre au même titre qu’elle est conçue en milieu terrestre, aérien ou marin. Aujourd’hui, nous concevons la manœuvre numérique pour attaquer ou nous défendre, mais nous devrons aller au-delà du management des informations en utilisant les futurs « data lakes », en étant capables d’y faire des analyses ou des requêtes et en recevant des informations directement exploitables comme avantage par les forces de combat.
Quel est votre horizon de déploiement ?
Le document d’ambition numérique est sorti le 30 novembre 2017 et nous allons proposer au ministre un plan stratégique fin février 2018. Ce plan définira les jalons et les rendez-vous nécessaires, et un calendrier. Parallèlement, se déroule le projet « Défense Plateforme » qui est un ensemble de briques fonctionnelles, dont DGSIC est pilote fonctionnel. Chaque brique est destinée à résoudre un problème particulier, instrumentalisé par sa réalisation technique confiée, dans la plupart des cas, à la DIRISI. Ce projet démarre rapidement pour être au rendez vous des premières application mais va ensuite durer plusieurs années. Les premières briques vont concerner la cartographie puis mise à disposition des données par secteur (technologies particulières des data center), la gestion des identités, l’hébergement (projet de hard), la fonction de transfert Intranet/Internet. La brique de cartographie des données vient de débuter avec une assistance externe pour des premiers livrable en exploitation avant l’été 2018. La révolution numérique des Armées est donc en marche…
*Le 1er septembre 2017 il a été nommé directeur général des systèmes d’information et de communication du ministère des Armées, et élevé au rang de vice-amiral d’escadre. Il est officier de la Légion d’honneur, commandeur de l'ordre national du Mérite et commandeur de l’ordre de la Croix de l’Aigle de la république d’Estonie.
** DINSIC : direction interministérielle du numérique et du système d’information et de communication de l’État. DIRISI : direction interarmées des réseaux d'infrastructure et des systèmes d'information de la Défense.